12.2.2 域和林的管理
面试题12:创建域和删除域的命令是( )。
A. dcpromote B. dcpromo C. promote D. promo
解析:
这道题也很简单,只要是通过命令方式安装和删除域的都知道,那就是dcpromo命令。不过,现在大多数都不是通过命令方式来创建和删除域的,而是直接通过“配置您的服务器向导”进行。
答案:B。
面试题13:在Windows Server 2003域网络中,父域和子域的默认信任关系是( )。
A. 双向可传递 B. 双向不可传递
C. 单向可传递 D. 单向不可传递
解析:
这道题考的是域信息关系方面的知识。
信任是在域之间建立的关系,它可使一个域中的用户由处在另一个域中的域控制器来进行验证。Windows NT中的信任关系与Windows 2000和Windows Server 2003操作系统中的信任关系不同。
在Windows NT 4.0及其以前版本中,信任仅限于两个域之间,而且信任关系是单向且不可传递的。在Windows 2000和Windows Server 2003林中的所有信任都是可传递的双向信任。因此,只要创建了信任,信任关系中的两个域就都是受信任的。从“双向信任”这一特点我们就可以排除C和D两个选项,从“可传递”这一特点又可以排除选项B。事实上也是这样的,默认的父、子域之间具有双向可传递的信任关系,林中各域树的树根也将是默认双向可传递的信任关系。
答案:A。
面试题14:只有( )组的成员,才有权对林的架构做出修改,并影响到林中所有的域。
A. Administrators B. Domain Admins
C. Enterprise Admins D. Schema Admins
解析:
这道题其实考的是应试者对几类域管理员组账户权限的理解。在Windows Server 2003域网络中,有几种管理员权限的组账户,它们是域控制器管理员组Administrators、本地域管理员组Domain Admins、林管理员组Enterprise Admins和林架构管理员组Schema Admins。但要注意的是,它们之间并没有我们通常所误认为的权限包含关系,而是各具特定的权限。也就是说,它们的权限分工是不一样的。
Administrators具有域中所有域控制器的完全控制权限,是本地内置作用域类型的安全组。在默认情况下,Domain Admins和Enterprise Admins组是Administrators组的成员。
Domain Admins具有对本地域管理的完全控制权限,是全局作用域类型的安全组。在默认情况下,该组是加入到该域中的所有域控制器、所有域工作站和所有域成员服务器上的Administrators组的成员。在默认情况下,Administrator账户也是该组的成员。
Enterprise Admins组的成员具有对林中所有域的完全控制作用,是通用作用域类型的安全组。默认情况下,该组是林中所有域控制器上Administrators组的成员。在默认情况下,Administrator账户也是该组的成员。
Schema Admins组的成员可修改Active Directory架构,也是通用作用域类型的安全组。在默认情况下,Administrator账户也是该组的成员。
答案:D。
面试题15:下面关于域和林关系的说法正确的是( )。
A. 一个域可以属于多个林之中
B. 一个林中可以有多个域
C. 一个域中的多个子域可以有连续的名称空间
D. 一个林中的多个域树可以有连续的名称空间
解析:
在Active Directory中,域树是由一个或多个Windows 2000或Windows Server 2003域通过传递、双向信任,共享公用架构、配置和全局分类连接起来的。域树中域的分层结构形成了连续的名称空间,可以将多个域树连接起来形成林。域树中的第一个域称为根域。在相同域树中的其他域为子域。相同域树中直接在另一个域上层的域称为子域的父。如,child.root.com为root.com的子域及grandchild.child.root.com的父域,而root.com域为child.root.com的父域,同时它也是该域树的根域。
林包括多个域树。林中的域树不形成邻接的名称空间。例如,虽然microsoft.com和microsoftasia.com两个域树都是support的子域,而子域的DNS名称却分别为support.microsoft.com和support.microsoftasia.com,它们之间没有共享的名称空间。
答案:B C。
面试题16:某大学用Windows Server 2003系统创建了一个林。甲机是xinhua.com域的DC,乙机是network.xinhuan.com域的DC。而丙机完整的计算机名为Cindy.network.xinhua.com,则下列说法正确的是( )。
A. 若A用户属于xinhua.com域,则可以在network.xinhua.com域内的任一计算机上登录xinhua.com域。
B. 若A用户属于xinhua.com域,则可以在xinhua.com域内的任一计算机上登录xinhua.com域。
C. 由于xinhua.com域是整个目录林的根域,所以丙机Cindy.network.xinhua.com的详细资料都保存在甲机上。
D. 由于丙机Cindy.network.xinhua.com属于network.xinhuan.com域,所以丙机的详细资料都保存在乙机上。
解析:
对于这类题只能对各个选项进行一一分析和排除。
因为在Windows Server 2003域网络中,父域和子域之间默认是双向信任的,所以A选项是正确的。
B选项肯定是正确的,因为域用户本来就可以在域中任何计算机上进行域登录。
C和D选项也是正确的,因为域根和相应域的DC上都保存了整个域树中各计算机对象的详细资料。
答案:A B C D。
面试题17:甲域内的A用户要想访问乙域内的共享资源,则( )。
A. 乙域必须针对甲域有信任关系。
B. 甲域必须针对乙域有信任关系。
C. A用户必须从甲域的DC上获取访问该共享资源的访问授权。
D. A用户必须从乙域的DC上获取访问该共享资源的访问授权。
解析:
这是考查域之间的信任关系的题。当A域信任B域时,则B域中的用户就可以访问A域中的资源。所以A选项是正确的。同时,可以得出B选项是错误的,信任关系反了。
C选项明显是错误的,因为所要访问的共享资源不是甲域的,也就没办法从甲域上获得所需访问的共享资源的访问权限。同时可以得出D选项是正确的。
答案:A D。
面试题18:一台计算机已经加入了某个域,但此时该计算机的本地管理员在该计算机上进行了本地登录,则对于该域的域管理员来说,( )。
A. 可以同时管理该计算机与该计算机的本地管理员用户
B. 无法管理该计算机,也无法管理该计算机的本地管理员用户
C. 可以管理该计算机,但不可以管理该计算机的本地管理员用户
D. 可以管理该计算机的本地管理员用户,但不可以管理该计算机
解析:
这道题考的是本机管理员和域管理员之间的关系。本地管理员只能在本地计算机和用户账户拥有完全控制权限,而域管理员只对域网络中的计算机账户实行管理权限,而没有对域网络中计算机的本地用户账户具有管理权限。
答案:C。